通过从事件日志中写入/读取 shellcode 来持久化。

SharpEventPersist 工具采用 4 个区分大小写的参数：

-file "C:\path\to\shellcode.bin"-instanceid 1337-source Persistence-eventlog "Key Management Service".

shellcode 转换为十六进制并写入“密钥管理服务”，事件级别设置为“信息”，源为“持久性”。

运行 SharpEventLoader 工具从事件日志中获取 shellcode 并执行它。理想情况下，这应该转换为 DLL 并在程序启动/启动时侧载。

如果未使用默认值运行，请记住更改加载程序中的事件日志名称和 instanceId。

默认值将留下以下工件：

• 一个新的密钥将被写入名为“Persistance”的 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Key Management Service。

• 这个新的“Persistance”键将没有默认键“KmsRequests”所具有的提供程序 GUID 或 TypesSupported。这可用于构建检测。

下载地址：

https://github.com/improsec/SharpEventPersist

如侵权请私聊我们删文

多一个点在看多一条小鱼干